AccueilDroitComment traiter les cyberattaques ?

Comment traiter les cyberattaques ?

Faux ordres de virement, informations diffamatoires diffusées sur la toile, demandes de rançon… Les affaires TV5 monde, Yahoo et Vinci illustrent l'ampleur de certaines cyberattaques. L'Association française de droit de l'informatique et de la télécommunication (Afdit) a récemment réuni de nombreux experts pour aborder le sujet brûlant de la cybersécurité.
Comment traiter les cyberattaques ?

Droit Publié le ,

Lors d'un colloque consacré au traitement d'une cyberattaque de A à Z, organisé au Conseil national des barreaux, André Meillassoux, président de l'Afdit, a invité des spécialistes à expliquer comment agir face à ce fléau.

« Il n'y a pas encore assez de personnes conscientes que la cybercriminalité est partout et qu'elle coûte chère », explique Claire Bernier, secrétaire générale de l'Afdit.

La multiplication des cyberattaques

Vinci, le célèbre groupe du secteur du BTP, a tout récemment été victime d'une cyberattaque. Simplissime mais très efficace, le cyber-délinquant s'est contenté de diffuser à différentes rédactions un communiqué de presse truffé de fausses informations sur les comptes de la société, son administration et le licenciement de son directeur financier, à travers une adresse mail au nom du groupe. Une fois relayées par plusieurs médias, ces informations ont fait dévisser sévèrement la valeur boursière de la société, en seulement quelques heures. Un cas d'école qui coûte cher.

La société américaine Yahoo a annoncé au mois de septembre que les données personnelles de plus de 500 millions de comptes d'utilisateurs (noms, adresses emails, mots de passe, numéros de téléphone…) avaient été compromises suite à une intrusion illégale.

L'an dernier, c'est la chaîne de télévision TV5 Monde qui a subi une grave cyberattaque entraînant l'arrêt de la diffusion des programmes et la publication de messages de soutien à l'État islamique sur ses réseaux sociaux.

Si ces exemples de cyberattaques sont impressionnants, ils ne représentent pas la majorité des cas, loin s'en faut. Il ne faut pas croire que seuls les grands groupes sont touchés. Malheureusement, même les TPE-PME en sont victimes. Les escroqueries aux faux ordres de virement sont courantes. Le risque d'attaques informatiques n'épargne personne aujourd'hui, entreprises comme particuliers. L'éditeur d'antivirus Symantec-Norton estime que 13,7 millions de Français auraient été victimes de hackers.


Myriam Quéméner, Pierre Vallet, André Meillassoux et Claire Bernier © AP

« L'Etat prend conscience des choses », explique Myriam Quéméner, magistrat conseillère du ministère de l'Intérieur sur la lutte contre les cybermenaces.

Nommé en décembre 2014 par le ministre de l'Intérieur, le cyber-préfet a pour but de développer et mettre en œuvre une stratégie ministérielle. Il travaille conjointement avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), créée en 2009, pour dresser un bilan de la situation et mettre en place des opérations de prévention et d'information.

Quels impératifs pour les victimes ?

Johanna Masson, juriste conformité à la CNIL, a détaillé les conséquences et la nécessaire notification aux autorités par les victimes de cyberattaques.

Les failles de sécurité et atteintes aux données personnelles des entreprises font souvent la Une de la presse. C'est la raison pour laquelle les Pouvoirs publics sont intervenus et ont nommé trois autorités publiques : la CNIL (pour les données à caractère personnel) ; l'ARS (pour les données de santé), l'ANSSI (en cas de problème de sécurité général), pour réguler ces infractions.

L'article 34 bis de la loi informatique et liberté impose l'obligation de notification à la CNIL aux services de communications électroniques accessibles au public. Les opérateurs d'importance vitale (OIV) et les établissements de santé ont aussi cette obligation puisqu'ils travaillent autour de données à caractère personnel.

Les objectifs des notifications aux régulateurs qui ont été imposées aux victimes de cyberattaques sont de « mettre en place rapidement des mesures de sécurité adéquates qui visent à prévenir les incidents futurs et à résoudre l'incident existant aux fins de minimiser le préjudice des personnes concernées » d'une part, et de « favoriser un échange de bonnes pratiques » d'autre part.

Ce régime va changer avec le règlement européen sur la protection des données qui impose une obligation générale de notification dès lors que la violation entraîne un risque pour les droits et libertés des personnes concernées.

Ce règlement européen va imposer « une révolution sur le droit des données personnelles » qui sera d'application directe (pas besoin de transposition comme pour les directives) selon Johanna Masson. Il impose une définition extrêmement large de la violation des données personnelles.

Pour cette experte de la CNIL, en cas de violation des données à caractère personnel l'entreprise victime doit :

• alerter la CNIL s'il existe un risque pour les droits des personnes et, le cas échéant, les autres autorités de contrôle compétentes ;

• prendre les mesures nécessaires afin de confiner et éradiquer l'incident ;

• s'il existe un risque élevé, alerter les utilisateurs touchés par l'incident ;

• documenter la violation (circonstances, effets et mesures prises pour y remédier).

Les critères d'appréciation de l'existence d'un risque pour les données à caractère personnel sont la nature des données, le nombre de personnes concernées, les types de mesures techniques préalables prises avant la violation, la cause de l'incident…

« La communication est un des éléments clés dans la gestion d'une cyberattaque », souligne Claire Bernier. Pierre Vallet, directeur général de Répu7ation, confirme et explique le nécessaire déploiement d'une communication à 360 degrés (aux publics, salariés et Pouvoirs publics). Toutefois, il estime que la communication n'est pas suffisante et conseille aux entreprises d'être présentes sur tous les supports cibles d'une usurpation d'identité, notamment sur les réseaux sociaux (Twitter, Linkedin…). En outre, elles doivent être capables de joindre les salariés qui répondent à ce type de crise en tout temps, et mettre en place des veilles sur les réseaux sociaux 24h/24, des protections minimales (nom de domaine, antivirus) et des alertes (logiciel et intelligence artificielle).

Cet expert propose surtout aux sociétés de mettre en place des simulations de cyber-crises, l'information régulière des salariés, mais aussi des contenus pré-rédigés et sites internet cachés pour mettre en ligne rapidement un communiqué en cas de crise.

« Les personnes oublient tout en arrivant au bureau », s'exclame André Meillassoux, en rappelant que la vigilance est de rigueur.

Face à aux cyber-menaces, il y a trois enjeux : insuffler une hyperactivité aux équipes ; apporter de l'intelligence technologique et adopter un « pirate mindset » (se mettre à la place du hacker).

Quelle indemnisation pour les victimes ?

Si l'État prend conscience de la situation et commence à traiter les cybermenaces, la question de l'indemnisation des victimes reste délicate. La loi du 3 juin 2016 a introduit la notion de compétence concurrente dévolue au TGI de Paris en cas de cyberattaque, explique la magistrate Myriam Quéméner. Le contentieux s'est étendu et il y a de plus en plus de plaintes, mais les avancées sont « modestes » en matière d'indemnisation.

La réparation de ce phénomène qui peut apparaître comme virtuel est très variable, de dizaines de milliers d'euros à presque rien. La magistrate a confié un retour d'expérience sur un jugement octroyant seulement 3 000 euros de dommages-intérêts à une victime qui continuait d'être importunée par ses cyber-agresseurs.

Toutefois, l'experte estime que les choses vont évoluer, car de nombreux auditeurs de justice et jeunes magistrats se forment sur les attaques numériques. En outre, la notion de cybervictime commence à apparaître, notamment à travers l'association Inavem pour la défense des victimes.

Partage
Envoyer à un ami
Connexion
Mot de passe oublié ?